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(54) Bezeichnung: VERFAHREN ZUM ERZWINGEN DER FAIL-SILENT EIGENSCHAFT IN EINEM VERTEILTEN COM- 
PUTERS Y STEM UND VERTEILEREINHEIT EINES SOLCHEN SYSTEMS 




(57) Abstract: The invention relates to a method for imposing the fail-silent characteristic in the time period of servers (111... 114) 
pertaining to a fault-tolerant distributed computer system wherein a plurality of servers are connected via a distribution unit (101, 
102). Each server is provided with an autonomous communication control unit with the corresponding connections to the commu- 
nication channels (121). Access to the communication channels is given according a cyclical time slice method. The at least one 
distribution unit which a priori knows the regular transmission behaviour of the servers imposes that a server is only capable to 
ff^ transmit to the remaining servers within the statically allocated time slice thereof. 

* (57) Zusammenfassung: Verfahren zum Erzwingen der fail-silent Eigenschaft im Zeitbereich von Knotenrechnem (1 1 1...1 14) ei- 
nes fehlertoleranten verteilten Computersy stems, in dem eine Vielzahl von Knotenrechnem iiber eine Verteilereinheit (101 , 102) ver- 
bunden sind, jeder Knotenrechner iiber eine autonome Kommunikationskontrolleinheit mit den entsprechenden Anschlussen an die 
Kommunikationskanale (121) verfugt und der Zugriff auf die Kommunikationskanale entsprechend einem zyklischen Zeitscheiben- 
verfahren erfolgt. Dabei erzwingt die zumindest eine Verteilereinheit aufgrund des ihr a priori bekannten regularen Sendeverhaltens 
der Knotenrechner, dass ein Knotenrechner nur innerhalb seiner statisch zugewiesenen Zeitscheibe an die anderen Knotenrechner zu 
senden vermag. 



o 



WO 01/13230 Al llllllllllllllllllllllllllllllllll 



EE, ES, FI, GB, GD, GE, GH, GM, HR, HU, ID, IL, IN, 
IS, JP, KE, KG, KP, KR, KZ, LC, LK, LR, LS, LT, LU, LV, 
MD, MG, MK, MN, MW, MX, NO, NZ, PL, PT, RO, RU, 
SD, SE, SG, SI, SK, SL, TJ, TM, TR,"TT, UA, UG, US, 
UZ, VN, YU, ZA, ZW. 

(84) Bestimmungsstaaten (regional): ARIPO-Patent (GH, 
GM, KE, LS, MW, MZ, SD, SL, SZ, TZ, UG, ZW), eura- 
sisches Patent (AM, AZ, BY, KG, KZ, MD, RU, TJ, TM), 
europaisches Patent (AT, BE, CH, CY, DE, DK, ES, FI, 
FR, GB, GR, IE, IT, LU, MC, NL, PT, SE), OAPI-Patent 
(BF, BJ, CF, CG, CI, CM, GA, GN, GW, ML, MR, NE, 
SN, TD, TG). 



Veroffentlicht: 

— Mit internationalem Recherchenbericht. 

— Vor Ablauf der fur Anderungen der Anspruche geltenden 
Frist; Veroffentlichung wird wiederholt, falls Anderungen 
eintrejfen. 

Zur Erklarung der Zweibuchstaben-Codes, und der anderen 
Abkurzungen wird auf die Erkldrungen ("Guidance Notes on 
Codes and Abbreviations") am Anfang jeder reguldren Ausgabe 
der PCT-Gazette verwiesen. 



WO 01/13230 



PCT/ATOO/00174 



verfahren zum erzwingen der fail-silent eigenschaft 
in einem verteilten computersystem und 
Verteilereinheit eines solchen Systems 



Diese Erfindung betrifft ein Verfahren zum Erzwingen der fail-silent Eigenschaft im Zeitbereich 
von Knotenrechnern eines fehlertoleranten verteilten Computersy stems, in dem eine Vielzahl von 
Knotenrechnern iiber eine Verteilereinheit verbunden sind, jeder Knotenrechner iiber eine auto- 
nome Kommunikationskontrolleinheit mit den entsprechenden Anschliissen an die Kommunika- 
tionskanale verfugt und der Zugriff auf die Kommunikationskanale entsprechend einem zykli- 
schen Zeitscheibenverfahren erfolgt. Ebenso betrifft die Erfindung eine Verteilereinheit mit in- 
tegriertem Guardian zur Erzwingung der fail-silent Eigenschaft im Zeitbereich von Knotenrech- 
nern eines fehlertoleranten verteilten Computersystems, iiber welche eine Vielzahl von Knoten- 
rechnern miteinander verbunden sind, jeder Knotenrechner iiber eine autonome Kommunikati- 
onskontrolleinheit mit zugehorigen Anschlussen an die Kommunikationskanale verfugt und der 
Zugriff auf die Kommunikationskanale entsprechend einem zyklischen Zeitscheibenverfahren 
erfolgt. 

Sicherheitskritische technische Anwendungen, d.s. insbesondere Anwendungen, bei welchen ein 
Fehler zu einer Katastrophe fuhren kann, werden zunehmend von verteilten fehlertoleranten 
Echtzeitcomputersystemen gefuhrt. 

In einem verteilten fehlertoleranten Echtzeitcomputersystem, bestehend aus einer Anzahl von 
Knotenrechnern und einem Echtzeitkommunikationssystem, muss der Ausfall eines Knotenrech- 
ners toleriert werden. Im Kern einer solchen Computerarchitektur befindet sich ein fehlertoleran- 
tes Echtzeitkommunikationssystem zum vorhersehbar schnellen und sicheren Austausch von 
Nachrichten. 

Ein Kommunikationsprotokoll, das diese Anforderungen erfullt, ist in der EP 0 658 257 A (WO 
94/06080) beschrieben. Dieses Protokoll ist unter dem Namen „Time-Triggered Protokoll/C 
(TTP/C)" bekannt geworden. Es basiert auf dem bekannten zyklischen Zeitscheibenverfahren 
(TDMA-time-division multiple access) mit a priori festgelegten Zeitscheiben. Das Protokoll 
TTP/C verwendet ein Verfahren zur fehlertoleranten Uhrensynchronisation, das in der US 
4,866,606 A geoffenbart ist. 
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Das Protokoll TTP/C setzt voraus, dass das Kommunikationssystem eine logische Broadcasttopo- 
logie unterstutzt und dass die Knotenrechner ein „fail-silence" (Kopetz, p. 121) Ausfallverhalten 
zeigen, d.h. entweder die Knotenrechner fimktionieren korrekt im Wertebereich und im Zeitbe- 
reich oder sie sind ruhig Dies ist beschrieben in Kopetz, H. (1997), „Real-Time Systems, Design 
Principles for Distributed Embedded Applications"; ISBN: 0-7923-9894-7, Boston, Kluwer Aca- 
demic Publishers. Die Verhinderung von Fehlern im Zeitbereich, d. s. der sogenannten „Babbling 
Idiot" Fehler (Kopetz, p. 130), wird in dem Protokoll TTP/C durch eine unabhangige Fehlerer- 
kennungseinheit, den sogenannten „Guardian", erreicht, der liber eine unabhangige Zeitbasis ver- 
ftigt und das Zeitverhalten des Knotenrechners kontinuierlich uberpriift. Um die Fehlertoleranz 
zu realisieren, werden mehrere fail-silent Knotenrechner zu einer fehlertoleranten Einheit (fault- 
tolerant unit-FTU) zusammengefasst und das Kommunikationssystem repliziert. Solange ein 
Knotenrechner einer FTU und ein Replikat des Kommunikationssystems fimktionieren, werden 
die Dienste der FTU im Zeit- und Wertebereich rechtzeitig erbracht. 

Eine logische Broadcasttopologie der Kommunikation kann physikalisch entweder durch ein 
verteiltes Bussystem, ein verteiltes Ringsystem, oder durch eine Verteilereinheit, z.B. einen 
Sternkoppler, mit Punkt-zu-Punkt Verbindungen zu den Knotenrechnern oder durch eine Kombi- 
nation dieser Topologien aufgebaut werden. Wenn ein verteiltes Bussystem oder ein verteiltes 
Ringsystem aufgebaut wird, so muss jeder Knotenrechner uber seinen eigenen Guardian verfu- 
gen. Wird hingegen eine Verteilereinheit verwendet, so konnen alle Guardians in diese Verteiler- 
einheit integriert werden, die aufgrund der globalen Beobachtung des Verhaltens aller Knoten- 
rechner ein regulares Sendeverhalten im Zeitbereich effektiv erzwingen kann. Die vorliegende 
Erfmdung betrifft auch die Integration der Guardians in eine solche Verteilereinheit. 

Solche Verteilereinheiten mit integriertem Guardian bringen folgende Vorteile: 

(i) Die Fault-Containment Region fur global kritische Fehler wird um die Punkt-zu- 
Punkt Verbindungen der Knotenrechner zu der Verteilereinheit reduziert, d. h. Fehler, 
die z. B. durch EMI (electromagnetic immission) in diese Punkt-zu-Punkt Verbin- 
dungen eingestreut werden, konnen eindeutig einem Knotenrechner zugeordnet wer- 
den und haben keine globale Wirkung. 

(ii) Die replizierten global kritischen Verteilereinheiten konnen raumlich getrennt in ge- 
schutzten Bereichen installiert und physisch kompakt ausgefuhrt werden. Dadurch 
wird die Wahrscheinlichkeit, dass eine Fehlerursache alle global kritischen Verteiler- 
einheiten zerstort, signifikant herabgesetzt. 
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(iii) Der Guardian der Verteilereinheit ersetzt die dezentralen Guardians in den Knoten- 
rechnern. Dadurch wird bei den Knotenrechnern Hardware, z.B. die Guardian Oszil- 
latoren eingespart. 

(iv) Physikalische Punkt-zu-Punkt Verbindungen eignen sich gut fur die Einfuhrung von 
Glasfaser und bringen auch bei verdrillten Leitungen Vorteile in der Impedanzanpas- 
sung. 

Es ist eine Aufgabe der Erfindung die Fehlertoleranz eines verteilten zeitgesteuerten Computer- 
systems zu erhohen und die Kosten zu senken. 

Diese Aufgabe wird mit einem Verfahren der eingangs genannten Art gelost, bei welchem erfin- 
dungsgemaB die zumindest eine Verteilereinheit aufgrund des ihr a priori bekannt regularen Sen- 
deverhaltens der Knotenrechner erzwingt, dass ein Knotenrechner nur innerhalb seiner statisch 
zugewiesenen Zeitscheibe an die anderen Knotenrechner zu senden vermag. 

Durch die Integration eines „Guardian" in die intelligente Verteilereinheit konnen „Babbling 
Idiot"-Fehler, d.h. Aussendung von Nachrichten zu falschen Zeitpunkten, der Knotenrechner 
verhindert werden. 

Ebenso wird die Aufgabe mit einer Verteilereinheit der oben erwahnten Art gelost, bei welcher 
erfmdungsgemaB die zumindest eine Verteilereinheit dazu eingerichtet ist, aufgrund des ihr 
a priori bekannten regularen Sendeverhaltens der Knotenrechner zu erzwingen, dass ein Knoten- 
rechner nur innerhalb seiner statisch zugewiesenen Zeitscheibe an die anderen Knotenrechner zu 
senden vermag. 

Die Funktion der Verteilereinheit basiert auf der Auswertung einer Kombination von statischen a 
priori Informationen liber die zeitliche Sendeberechtigung der einzelnen Knotenrechner mit einer 
dynamischen Synchronisation der Verteilereinheit durch die Nachrichten eines zeitgesteuerten 
Kommunikationssystems. 

Die Erfindung samt ihrer weiteren Vorteile wird im folgenden an Hand von Ausfuhrungsbeispie- 
len naher erlautert, die in der Zeichnung veranschaulicht wird. In dieser zeigen: 

> Fig. 1 die Struktur eines verteilten Computersystems mit vier Knotenrechnern, die iiber zwei 
replizierte Verteilereinheiten verbunden sind, 

> Fig. 2 die Struktur eines Knotenrechners, bestehend aus einer Kommunikations-Kontroll- 
einheit und einem Hostcomputer, die iiber ein Communication Network Interface (CNI) 
kommunizieren, 
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> Fig. 3 die Struktur einer Verteilereinheit mit integriertem Guardian, 

> Fig. 4 die Datenstruktur der Information, welche die Verteilereinheit a priori enthalt, 

> Fig. 5 die Struktur einer Initialisierungsnachricht, und 

> Fig. 6 die inneren Zustande der Verteilereinheit. 

Im folgenden Abschnitt wird eine Realisierung der Erfindung an einem Beispiel mit vier Knoten- 
rechnern, die iiber zwei replizierte Verteilereinheiten verbunden sind, gezeigt. Die Objekte in den 
Abbildungen sind so nummeriert, dass sich die erste der dreistelligen Bezugsziffern immer auf 
die Bildnummer bezieht. 

Fig. 1 zeigt ein System von vier Knotenrechnern 111, 112, 113 und 114, wobei jeder Knoten- 
rechner eine austauschbare Einheit bildet und iiber je eine Punkt-zu-Punkt Verbindung 121 mit 
zwei replizierten Verteilereinheiten 101 und 102 verbunden ist. Von der ersten Verteilereinheit 
101 fuhrt ein unidirektionaler Kommunikationskanal 151 zu der anderen zweiten Verteilereinheit 
102. Umgekehrt fuhrt von der Verteilereinheit 102 ein unidirektionaler Kommunikationskanal 
152 zu der Verteilereinheit 101. Uber diese unidirektionalen Kommunikationskanale kann die 
erste Verteilereinheit 101 den Verkehr auf der zweiten Verteilereinheit 102 und umgekehrt beo- 
bachten und den Kaltstart oder die Uhrensynchronisation auch vornehmen, wenn es an den eige- 
nen Verbindungen 121 keinen Nachrichtenverkehr gibt. Angedeutete Verbindungen 141 und 142 
sind dedizierte Kommunikationskanale; sie fiihren zu einem auf der Zeichnung nicht ersichtli- 
chen Wartungscomputer, der die Parameter der Verteilereinheiten festlegen kann und die korrek- 
te Funktion der Verteilereinheiten kontinuierlich iiberwacht. 

Fig. 2 zeigt den inneren Aufbau eines Knotenrechners 111. Er besteht aus zwei Subsystemen, 
namlich einem Kommunikationskontroller 210, der mit den replizierten Kommunikationskanalen 
201 und 202 verbunden ist (entspricht 121 in Fig. 1), und einem Hostcomputer 220, auf dem die 
Anwendungsprogramme des Knotenrechners ausgefuhrt werden. Diese beiden Subsysteme sind 
miteinander iiber ein Communication Network Interface (CNI) 241 und eine Signalleitung 242 
verbunden. Das Interface 241 enthalt einen Speicher (Dual Ported RAM = DPRAM), auf den 
beide Subsysteme zugreifen konnen. Die beiden Subsysteme tauschen iiber diesen gemeinsamen 
Speicher bzw. Interface 241 die Kommunikationsdaten aus. Die Signalleitung 242 dient zur U- 
bertragung der synchronisierten Zeitsignale. Diese Signalleitung ist in der angefuhrten US 
4,866,606 A genau beschrieben. Der Kommunikationskontroller 210, der autonom arbeitet, ver- 
fugt iiber eine Kommunikationskontrolleinheit 211 und eine Datenstruktur 212, die angibt, zu 
welchen Zeitpunkten Nachrichten gesendet und empfangen werden mussen. Die Datenstruktur 
212 wird als Message Descriptor List (MEDL) bezeichnet. 
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Fig. 3 zeigt die Struktur einer Verteilereinheit mit integriertem Guardian. Eine solche Verteiler- 
einheit besteht aus Eingangsports 311, Ausgangsports 312, einem Datenverteiler 330 und einem 
Steuercomputer 340. Die Datenverbindungen 309 von dem Knotenrechner (entspricht 121 in Fig. 
1), werden zu einem Eingangsport 311 und einem Ausgangsport 312 der Verteilereinheit gefuhrt. 
Das gleiche gilt fur Datenverbindungen 302, 303 und 304. Bei einer unidirektionalen Kommuni- 
kationsleitung konnen diese beiden Ports 311 und 312 auch getrennt mit entsprechenden Ports 
des Knotenrechners mit der Datenverbindung 301 verbunden werden. In jedem Eingangsport 311 
befmdet sich - neben den ublichen Filtern und, falls erforderlich, einer Potenzialtrennung - ein 
Schalter 313, der vom Steuercomputer 340 der Verteilereinheit uber eine Signalleitung 314 ange- 
steuert werden kann und der dem Steuercomputer 340 mitteilt, wann auf diesem Port empfangen 
wird. Die Daten, die am Eingangsport 311 eintreffen, werden iiber den Datenverteiler 330 an die 
Ausgangsports 312, an den Steuercomputer 340 (uber die Datenleitung 331) und an andere Ver- 
teilereinheiten (uber den Kanal 351) weitergeleitet. Der Steuercomputer 340 verfugt auch iiber 
einen seriellen I/O Kanal 341, uber den die statische Datenstruktur entsprechend Fig. 4 geladen 
werden kann und der periodisch Diagnosemeldung iiber den Zustand des Steuercomputers 340 an 
einen Wartungscomputer gibt. Falls erforderlich, konnen die Daten auf den Leitungen 312 vor 
dem Ausgang verstarkt werden. Solche, dem Stand der Technik entsprechenden Verstarker sind 
in der Fig. 3 nicht eingetragen. 

Fig. 4 zeigt die Datenstruktur, die dem Steuercomputer 340 a priori, d.h. vor der Laufzeit, zur 
Verfugung gestellt wird. Diese Datenstruktur enthalt fur jeden Port bzw. Knotenrechner 111, 
112, 113, 114 der Verteilereinheit einen eigenen Datensatz 411, 412, 413, 414. In einem ersten 
Feld dieses Datensatzes 401 steht die Portnummer, auf die sich dieser Datensatz bezieht. In ei- 
nem zweiten Feld 402 steht die Sendedauer des mit dem Port verbundenen Knotens entsprechend 
der Eintragung in der Liste MEDL 212. In einem dritten Feld 403 steht die Dauer des Zeitinter- 
valls zwischen dem Ende des aktuellen Sendens bis zum Beginn des nachsten Sendens des mit 
dem Port verbundenen Knotens. In einem vierten Feld 404 steht die Nummer des zeitlich nachs- 
ten Ports. In einem fiinften Feld 405 steht die Dauer des Zeitintervalls zwischen dem Ende des 
aktuellen Sendens bis zum Beginn des Sendens des Knotens am zeitlich nachsten Port. Im Feld 
406 steht die Lange einer Initialisierungsnachricht, die auf dem aktuellen Port empfangen werden 
kann. Der Inhalt der Datenstruktur von Fig. 4 wird von einem Entwicklungstool in Abstimmung 
mit den Message Descriptor Lists 212 erstellt und vor der Laufzeit iiber den Kanal 341 in den 
Steuercomputer 340 geladen. 

Fig. 5 zeigt die Struktur einer Initialisierungsnachricht. Die Initialisierungsnachricht muss in 
Header 501 ein ausgezeichnetes Bit 510 enthalten, das die Nachricht als Initialisierungsnachricht 
kennzeichnet. Im Datenfeld 502 der Initialisierungsnachricht stehen weitere Informationen, die 
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fur die Funktion einer einfachen Verteilereinheit ohne Bedeutung sind. Am Ende der Initialisie- 
rungsnachricht befmdet sich das CRC Feld 503. Entsprechend leistungsfahige Verteilereinheiten 
konnen die Informationen im Datenfeld 502 einer Initialisierungsnachricht zusatzlich zur Erho- 
hung der Fehlererkennungswahrscheinlichkeit auswerten. Zum Beispiel konnen solche leistungs- 
fahigere Verteilereinheiten das Zeitfeld einer TTP/C Initialisierungsnachricht auswerten, um den 
Uhrenstand des Senders mit der eigenen Uhr vergleichen zu konnen. 

Fig. 6 zeigt die beiden wichtigsten inneren Zustande des Steuercomputers 340, einer Verteiler- 
einheit 101, unsynchronisiert 601 und synchronisiert 602. Nach Power-up 610 geht der Steuer- 
computer 340 in den Zustand „unsynchronisiert". In diesem Zustand sind alle Eingangports 311 
mit dem Datenverteiler 330 verbunden. Sobald auf einem Eingangsport liber die Datenleitung 
331 (oder iiber den Kanal 352) vom Steuercomputer 340 eine korrekte Nachricht empfangen 
wird, stellt der Steuercomputer 340 iiber die Signalleitung 314 fest, iiber welchen Port empfangen 
wurde, speichert den Empfangszeitpunkt, iiberpriift die Lange der Nachricht durch Vergleich mit 
der im Feld 406 gespeicherten Lange und geht, bei positivem Ausgang der Priifung, in den Zu- 
stand „synchronisiert" 602, wobei der gespeicherte Empfangszeitpunkt der Initialisierungsnach- 
richt das Synchronisationsereignis darstellt. Im Zustand „synchronisiert" 602 stellt der Steuer- 
computer 340 nur wahrend der Zeitdauer 403 eine Verbindung am entsprechenden Eingangsport 
her. Wenn zum ungefahr richtigen Zeitpunkt eine beliebige Nachricht eintrifft, die den Codie- 
rungsvorschriften des gewahlten Codierungssystems entspricht, dann verwendet der Steuercom- 
puter die gemessene Zeitdifferenz zwischen dem beobachteten und erwarteten Ankunftszeitpunkt 
der Nachricht, um seine Uhr iiber einen bekannten fehlertoleranten Algorithmus (z.B. Kopetz 
1997, p. 61) nachzusynchronisieren. Wenn wahrend eines a priori festgelegten Zeitintervalls 
dfauit-i keine korrekte Nachricht an irgendeinem der Kanale 301 bis 304 oder 352 eintrifft, wech- 
selt die Verteilereinheit bzw. ihr Steuercomputer 340 in den Zustand „unsynchronisiert" 601. Im 
synchronisierten Zustand 602 ist eine Nachricht korrekt, wenn sie mindestens die folgenden Kri- 
terien erfullt: Sie trifft am Eingangsport ungefahr zum erwarteten Zeitpunkt ein, verfligt iiber ein 
korrektes CRC Feld 503 und hat die richtige Lange entsprechend dem Feld 406. 

Der Steuercomputer 340 kommuniziert iiber die I/O Leitung 341 (dies sind die Leitungen 141 
und 142 in Fig. 1) mit einem Wartungscomputer, der die Parametrisierung des Steuercomputers 
340 vornimmt und die Funktion des Steuercomputers wahrend des Betriebes iiberwacht. 

Um zu verhindern, dass ein Einzelfehler im Taktgeber eines Knotenrechners, z.B. Ill, der zu 
einer marginal falschen Kodierung der physikalischen Signale auf beiden Kanalen 201 und 202 
des Knotenrechners 111 ftihren kann, iiber beide Verteilereinheiten an die Empfanger der Nach- 
richt durchschlagt, wird das eintreffende physikalische Signal in jeder Verteilereinheit unmittel- 
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bar nach dem Empfangen unter Verwendung des lokalen Taktgebers der Verteilereinheit in ein 
Digitalsignal umgewandelt und unmittelbar vor dem Senden von der Verteilereinheit erneut in 
die physikalische Form umgewandelt (Signal Reshaping durch die Verteilereinheit). Damit wird 
ein marginal falsche Kodierung entweder in eine konsistent richtige Kodierung oder in eine kon- 
sistent falsche Kodierung abgebildet Unter der Annahme, dass innerhalb einer TDMA Runde 
nur eine Fehlerursache auftritt, kann durch diese MaBnahme verhindert werden, dass ein Einzel- 
fehler im Zeitbereich oder im Wertebereich die Kodierung auf beiden Kanalen derart stort, dass 
im System Inkonsistenzen auftreten konnen. 

Es ist eine wichtige Eigenschaft dieser Erfindung, dass der Steuercomputer 340 nur das Offnen 
und SchlieBen der Schalter 313 bewirken kann, jedoch die vermittelten Nachrichten inhaltlich 
weder verandert, noch neue Nachrichten einfugt. Die einzige Ausfallart der Verteilereinheit ist 
daher ein fail-silent Ausfall eines Kommunikationskanals. In einer fehlertoleranten Konfiguration 
ist aber stets ein zweiter unabhangiger Kommunikationskanal vorhanden. 

AbschlieBend sei festgehalten, dass sich die Erfindung nicht auf die beschriebene Realisierung 
mit vier Knotenrechnern und zwei Verteilereinheiten beschrankt, sondern beliebig erweiterbar 
ist. Sie ist nicht nur beim TTP/C Protokoll, sondern auch bei anderen zeitgesteuerten Protokollen 
anwendbar. 
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Patent anspruche 



1 . Verfahren zum Erzwingen der fail-silent Eigenschaft im Zeitbereich von Knotenrechnern 
eines fehlertoleranten verteilten Computersystems, in dem eine Vielzahl von Knotenrech- 
nern uber eine Verteilereinheit verbunden sind, jeder Knotenrechner tiber eine autonome 
Kommunikationskontrolleinheit mit den entsprechenden Anschlussen an die Kommunika- 
tionskanale verfugt und der Zugriff auf die Kommunikationskanale entsprechend einem 
zyklischen Zeitscheibenverfahren erfolgt 

dadurch gekennzeichnet, dass 

die zumindest eine Verteilereinheit aufgrund des ihr a priori bekannten regularen Sende- 
verhaltens der Knotenrechner erzwingt, dass ein Knotenrechner nur innerhalb seiner sta- 
tisch zugewiesenen Zeitscheibe an die anderen Knotenrechner zu senden vermag. 

2. Verfahren nach Anspruch 1, dadurch gekennzeichnet, dass die zumindest eine Verteiler- 
einheit von dem Zustand „unsynchronisiert", in dem liber alle Eingangsports empfangen 
werden kann, nach dem Empfang einer korrekten Nachricht in den Zustand „synchroni- 
siert" wechselt, in dem uber einen Eingangsport nur wahrend der diesem Eingangsport sta- 
tisch zugewiesenen Zeitscheibe empfangen werden kann. 

3. Verfahren nach Anspruch 1 oder 2, dadurch gekennzeichnet, dass die zumindest eine 
Verteilereinheit vom Zustand „synchronisiert" in den Zustand „unsynchronisiert" wechselt, 
wenn seit der letzten Initialisierungsnachricht an keinem ihrer Eingangports innerhalb eines 
a priori vorgegebenen Zeitintervalls eine korrekte Nachricht empfangen wird. 

4. Verfahren nach einem oder mehreren der Anspruche 1 bis 3, dadurch gekennzeichnet, 
dass einer Verteilereinheit der Inhalt von eintreffenden Nachrichten im Sinne einer zusatz- 
lichen Fehlererkennung ausgewertet wird. 

5. Verfahren nach einem oder mehreren der Anspruche 1 bis 5, dadurch gekennzeichnet, 
dass die zumindest eine Verteilereinheit nach „Power-up" den Zustand „unsynchronisiert" 
einnimmt 
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6. Verfahren nach einem oder mehreren der Anspruche 1 bis 6, dadurch gekennzeichnet, 
dass die zumindest eine Verteilereinheit die ankommenden physikalischen Signale unter 
Verwendung der lokalen Uhr der Verteilereinheit in die Digitalform umwandelt und vor 
dem Senden wieder in die physikalische Form iiberfuhrt. 

7. Verfahren nach einem oder mehreren der Anspruche 1 bis 6, dadurch gekennzeichnet, 
dass Verteilereinheiten liber Kommunikationskanale miteinander verbunden sind, um das 
Hochfahren und die Uhrensynchronisation einer Verteilereinheit zu ermoglichen, auch 
wenn auf den eigenen Verbindungen keine Nachrichten eintreffen. 

8. Verfahren nach einem oder mehreren der Anspruche 1 bis 6 dadurch gekennzeichnet, 
dass Verteilereinheiten iiber dedizierte Kommunikationskanale mit mindestens einem War- 
tungscomputer verbunden sind, die die Parametrisierung der Verteilereinheiten vornehmen 
und die korrekte Funktion der Verteilereinheiten wahrend des Betriebes uberwachen. 

9. Verteilereinheit (101, 102) mit integriertem Guardian zur Erzwingung der fail-silent Eigen- 
schaft im Zeitbereich von Knotenrechnern eines fehlertoleranten verteilten Computersys- 
tems, iiber welche eine Vielzahl von Knotenrechnern (111 ... 114) miteinander verbunden 
sind, jeder Knotenrechner iiber eine autonome Kommunikationskontrolleinheit (211) mit 
zugehorigen Anschlussen an die Kommunikationskanale (201, 202) verfugt, und der 
Zugriff auf die Kommunikationskanale entsprechend einem zyklischen Zeitscheibenverfah- 
ren erfolgt, 

dadurch gekennzeichnet, dass 

die zumindest eine Verteilereinheit (101, 102) dazu eingerichtet ist, aufgrund des ihr a prio- 
ri bekannten regularen Sendeverhaltens der Knotenrechner zu erzwingen, dass ein Knoten- 
rechner nur innerhalb seiner statisch zugewiesenen Zeitscheibe an die anderen Knotenrech- 
ner zu senden vermag. 

10. Verteilereinheit (101, 102) nach Anspruch 9, eingerichtet zur Durchfuhrung des Verfahrens 
nach einem der Anspruche 2 bis 8. 
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